Ab dem 01. April 2021 gelten die Anforderungen der IT-Sicherheitsrichtlinie zur Sicherstellung des Umgangs mit personenbezogenen Daten in Praxen. Die Anforderungen gelten für alle praktizierenden Vertragsärzte und -zahnärzte unabhängig davon ob sie selbständig oder als Angestellte tätig sind und haben den Rang eines Gesetzes.
Dies stellt jede Praxis und ihre Mitarbeiter vor erhebliche fachliche, technische und rechtliche Herausforderungen bei der Interpretation, Anwendung und Umsetzung der Vorgaben.
Dabei ordnen wir die fachlichen, technischen und juristischen Anforderungen des Richtlinientextes aus Sicht der Praxis ein.
Unser Ziel ist es dabei Sie durch eine optimale Aus- und Vorbereitung bestmöglich zu unterstützen, Ihnen Aufwand zu ersparen und Ihnen ein Höchstmaß an Sicherheit zu geben, um alle Vorgaben zu erfüllen.
Mithilfe unserer Plattform rund um das Thema IT-Sicherheit und E-Learning machen Sie Ihre Mitarbeiter und Ihre Praxis fit für die aktuellen Anforderungen und bleiben auch für zukünftige Herausforderungen immer auf dem neuesten Stand.
IT-Sicherheit in der Praxis stellt eine enorme Herausforderung dar und erfordert eine breit aufgestellte Expertise aus den Anwendungsbereichen IT, Recht und Praxisorganisation. Gemeinsam stellen wir uns dieser Herausforderung in einem starken Team:
Dr. Robert Kazemi ist Rechtsanwalt und Partner der Kanzlei Kazemi & Partner Rechtsanwälte aus Bonn. Er berät und publiziert vor allem auf den Gebieten des Datenschutz-, des IT- und des IP-Rechts sowie im Medizinrecht und ist hier sowohl außergerichtlich, gerichtlich, wie auch als Autor und Vortragender deutschlandweit aktiv.
Mit 20 Jahren Erfahrung in der Softwarebranche, bei Medienhäuser und in weiteren Branchen ist Matthias Lachmann Spezialist für agile Methoden, um Innovationspotential zu heben. Als Managementberater unterstützt er bei Analyse, Entwicklung und Durchführung von Transformations- und Migrationsprojekten. Als Interim Manager begleite er den Aufbau auch vor Ort.
Zahnarzt bei ZAHNÄRZTEMG sowie Geschäftsführer und Gründer der rose GmbH
Studium der Zahnmedizin an der RWTH-Aachen und Masterstudium in International Economic Studies mit Studienorten in Maastricht, Oslo und Washington
Weitere Informationen über die Entwicklung unseres Angebots erhalten Sie über unseren Informations-Newsletter, zu dem Sie sich hier anmelden.
Ja. Als Vertrags(zahn)arzt sind die Anforderungen der IT-Sicherheitsrichtlinie für Sie verbindlich (§ 75b Abs. 4 SGB V). Die Richtlinie unterscheidet bei den Anforderungen indes zwischen verschiedenen Praxisgrößen. Unter welche Kategorie Sie fallen, ist nicht so einfach zu beantworten (s. welche Anforderungen muss ich beachten).
Die Richtlinie kennt die „Praxis“ als kleinste Organisationsform. Diese muss die Anforderungen nach Anlage 1 und 5 der Richtlinie erfüllen. Eine Praxis zeichnet sich dadurch aus, dass ständig nicht mehr als 5 Personen mit der Datenverarbeitung beschäftigt sind.
Es wird von Personen gesprochen, d.h. es kommt tatsächlich auf die „Köpfe“ und nicht auf den Umfang ihrer Tätigkeiten. Auch eine Helferin, die nur ein Mal pro Woche für eine Stunde in der Praxis am Empfang sitzt, ist als Person zu berücksichtigen.
Das Tatbestandsmerkmal stellt auf die Intensität der Datenverarbeitung ab.
Wir beantworten Ihre Fragen:
Anders als das BDSG nimmt der Richtlinientext allgemein auf die Datenverarbeitung Bezug, ohne den Begriff genauer zu definieren. Es gibt also keine konkrete Beschränkung auf die Verarbeitung personenbezogener Daten.
Wir beantworten Ihre Fragen:
Auf den ersten Blick einfach zu beantworten: Einzelpraxis, Berufsausübungsgemeinschaft, wohl auch das MVZ. Aber was ist mit der Zweigpraxis, der Praxisgemeinschaft oder der Gerätegemeinschaft? Müssen hier jeweils einheitliche Maßnahmen ergriffen werden?
Sie sehen, schon die Beantwortung dieser auf den ersten Blick einfachen Eingangsfrage, kann Sie ins Strudeln bringen. Wir helfen Ihnen – wie bei allen anderen Anforderungen auch – bei der sicheren Einordnung, damit Sie nicht zu wenige, aber eben auch nicht zu viele Maßnahmen ergreifen. Sie können sich weiter auf Ihre eigentliche Behandlungstätigkeit konzentrieren und die Umsetzung der IT-Sicherheitsrichtlinie an Ihre Mitarbeiter und Berater delegieren. Wir sorgen für klare und verständliche Umsetzungsempfehlungen und unterstützen Sie bei der erforderlichen Dokumentation.
Die Richtlinienvorgaben sind für jeden Vertrags(zahn)arzt verbindlich (§ 75b Abs. 4 SGB V). Auch der angestellte Vertrags(zahn)arzt muss daher die Richtlinienanforderungen beachten.
Wir beantworten Ihre Fragen:
Unsere Lösung:
Ja. Die IT-Sicherheitsrichtlinie stellt Anforderungen an den Betrieb vertrags(zahn)ärztlicher Praxen im Sinne des Art. 32 DSGVO (Sicherheit der Verarbeitung) auf und normiert insoweit den „Stand der Technik“ im Sinne dieser Norm. Aus diesem Grund steht zu erwarten, dass die Anforderungen (durch die Hintertür) in weiten Teilen auch den Privatarzt treffen werden.
Wir beantworten Ihre Fragen:
Unsere Lösung:
Beide Bestimmungen zeigen durchaus Überschneidungen, sind aber sicherlich nicht identisch. Die IT-Sicherheitsrichtlinie regelt die Datenverarbeitung allgemein und beschränkt sich – anders als das Datenschutzrecht – nicht auf die Verarbeitung personenbezogener Daten. Die Datensicherheit soll also allgemein und nicht nur dann erhöht werden, wenn Patienten hiervon betroffen sein können. Die IT-Sicherheitsrichtlinie fordert daher zuweilen mehr als das Datenschutzrecht. Sie fordert, dies ist entscheidend, aber auch oft augenscheinlich genau das Gegenteil, von dem was nach DSGVO von Ihnen erwartet wird.
Bereits jetzt steht fest, viele Vorgaben der IT-Sicherheitsrichtlinie sind unklar, unsauber oder missverständlich formuliert und daher interpretationsbedürftig. Unsere Fachexperten haben die Interpretation für Sie vollzogen und können ihnen daher praxisgerechte und vor allem praxistaugliche Lösungsvorschläge unterbreiten. Sie können sich weiter auf Ihre ärztliche Tätigkeit konzentrieren und müssen auch keine wertvollen Mitarbeiterkapazitäten auf die Interpretation verwenden. Konzentrieren Sie sich auf die Umsetzung des Erforderlichen und verschwenden Sie keine Zeit darauf, erstmal festzustellen, was genau erforderlich ist!
§ 38 BDSG sieht Erleichterungen bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten vor und fordert dessen Bestellung grundsätzlich erst ab der „Beschäftigung“ von mindestens 20 Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, verpflichtend ein. Die mittlere Praxis liegt mit 6-20 Personen also unterhalb dieser Schwelle. Ein betrieblicher Datenschutzbeauftragter kann – dies soll hier nicht in Abrede gestellt werden – auch für diese Praxen durchaus sinnvoll sein, seine Bestellung wird durch die IT-Sicherheitsrichtlinie indes nicht verbindlich. Doch wer, wenn nicht der DSB hilft mir dann bei der Umsetzung?
Die IT-Sicherheitsrichtlinie sieht in Anlage 1 Nr. 1-4 besondere Anforderungen an die Sicherheit mobiler Anwendungen (Apps) vor. In den Nummern 19-27 finden sich weitere Bestimmungen zu Smartphone und Tablet sowie Mobiltelefonen. Auch diese können Auswirkungen auf die App-Nutzung haben. Auch in Anlage 2 Nr. 1 findet sich eine Anforderung an mobile Anwendungen (Apps). Nach Ziffer 3 Anlage 1 dürfen nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern.
Wir beantworten Ihre Fragen:
Viele Anforderungen der IT-Sicherheitsrichtlinie können Sie nicht allein erfüllen; Sie brauchen hierfür auch Ihre Mitarbeiter. Wie holen Sie diese ins Boot und welche Möglichkeiten und vielleicht sogar Verpflichtungen bestehen, um die Umsetzung der Richtlinienanforderungen auf Mitarbeiterebene sicherzustellen ohne den Praxisbetrieb zu behindern?
Unsere Lösung: